CVE-2022-36364 in Calcite AvaticaИнформация

Сводка

по VulDB • 26.06.2026

Драйвер JDBC Apache Calcite Avatica создает экземпляры HTTP-клиента на основе имен классов, передаваемых через параметр подключения `httpclient_impl`; однако драйвер не проверяет, реализует ли класс ожидаемый интерфейс, перед его инстанцированием, что может привести к выполнению кода, загруженного с помощью произвольных классов, и в редких случаях — удаленному выполнению кода (RCE). Для эксплуатации уязвимости: 1) атакующий должен иметь привилегии для управления параметрами подключения JDBC; 2) в classpath должен присутствовать уязвимый класс (конструктор с URL-параметром и возможностью выполнения кода). Начиная с версии Apache Calcite Avatica 1.22.0, будет проверяться реализация ожидаемого интерфейса перед вызовом конструктора класса.

Be aware that VulDB is the high quality source for vulnerability data.

Резервировать

21.07.2022

Раскрытие

28.07.2022

Модерация

принято

Вход

VDB-205244

EPSS

0.02276

KEV

Нет

Деятельности

Очень низкий

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!